Cela fait quelques années qu'un certain nombre de hackers travaillent sur le mécanisme interne du silicium personnalisé, qui est installé dans les derniers Macs. Ils ont découvert qu'il est possible de pirater la puce de sécurité T2 des récents Mac en combinant des exploits développés afin de pouvoir pirater des téléphones plus anciens. Rick Mark, chercheur en sécurité belge travaillant chez IronPeak, a indiqué que la puce T2 est basée sur l'ancien processeur Apple de la série A10. Cela signifie que l'on peut combiner un exploit développé pour le jailbreaking de l'iPhone, « checkm8 », avec une vulnérabilité du contrôleur mémoire appelée « blackbird ». Cette technique permet non seulement de modifier son comportement, mais aussi d’installer un malware sur la puce.Dans un billet de blog, Rick Mark a fait savoir que les principaux chercheurs impliqués dans ce travail, à part lui, sont @h0m3us3r, @mcmrarm, @ aunali1. Ils ont poursuivi le travail effectué par le développeur @axi0mX pour la création de « checkm8 » et de son adaptation pour cibler le T2. Ils ont également collaboré avec un groupe qui a intégré « checkm8 » dans le logiciel checkra1n. Le chercheur belge en matière de sécurité n'a pas manqué non plus de révéler la chronologie des étapes importantes du déroulement de leur travail.
« L'équipe checkra1n a fait un travail de fond pour créer un jailbreak complet à partir de la faille checkm8. C'est la similitude de bridgeOS et d'iOS qui a permis à la version T2 de checkm8 d'être rapidement incluse et prise en charge. Une grande partie des travaux ultérieurs est due à ce cadre et à la communauté des effractions de prison dans son ensemble. C'est après le travail T2 checkm8 que l'équipe T2 a été ajoutée à checkra1n et créditée », a écrit Rick Mark.
Pour rappel, le T2 a été annoncé en 2017. Il contient un « secure enclave processor (SEP) », qui a été conçu pour protéger les données Touch ID, le stockage crypté et les capacités de démarrage sécurisé. Il a fait ses débuts à partir de 2018 sur des appareils comme le MacBook Pro, le MacBook Air et le Mac mini. L’année suivante, il a fait également son apparition dans l’iMac Pro ainsi qu’au Mac Pro avant d’être ajouté à l’iMac en 2020.
Connu comme étant un exploit ciblant une vulnérabilité « use-after-free », le checkm8 permet à un attaquant d'exécuter du code non signé en mode récupération, ou encore en mode DFU (Device Firmware Update). Une modification a été apportée pour que l'interface de débogage qui lui est attachée puisse être utilisée pour corrompre la puce T2.
Cependant, le piratage du T2 n'a jamais été une mince affaire, car il faut non seulement que le malfaiteur ait un accès local au Mac, mais aussi qu'il se connecte au terminal cible par le biais d'un câble de « débogage » USB-C non-standard et qu'il fonctionne avec une version de logiciel de « jailbreaking » au démarrage de la machine. Tous les Macs ne sont pas concernés par cette prétendue attaque. Les Macs fonctionnant sur le silicium d'Apple ainsi que ceux fonctionnant avec des itérations plus récentes de la puce sont donc écartés de cette attaque. L'utilisation de FileVault pour crypter un Mac ne permet pas non plus aux attaquants d'accéder aux données qu'il contient, bien qu'ils puissent essayer d'installer des logiciels malveillants.
Le fait de compromettre la T2 ne met pas fin au chiffrement du disque MacOS FileVault2 mais permet à quelqu'un d'installer un enregistreur de frappe permettant d'obtenir la clé de chiffrement ou de tenter de déchiffrer la clé en utilisant une attaque par force brute. Et d’après le chercheur en sécurité, le T2 ne peut malheureusement pas être réparé.
« Apple utilise SecureROM au tout début du démarrage. La ROM ne peut pas être modifiée après la fabrication et est effectuée pour éviter les modifications. Cela empêche généralement un attaquant de placer des logiciels malveillants au début de la chaîne de démarrage, mais dans ce cas, cela empêche également Apple de réparer SecureROM. L'effet net est qu'Apple ne peut pas résoudre ce problème sans remplacer la puce T2, mais tant qu'une machine est amorçable dans DFU, elle peut être « réparée » par une seconde machine digne de confiance », a expliqué Rick Mark.
En revanche, pour ceux qui souhaitent redonner à leur T2 sa configuration d'usine, le chercheur en sécurité belge leur offre deux possibilités.
« Vous avez deux choix, mais l'un ou l'autre nécessite un ordinateur de confiance. Rappelez-vous, tout comme lorsque vous téléchargez un utilitaire de jailbreak (qui devrait toujours provenir du site officiel de checkra1n), la sécurité de l'appareil en cours de restauration n'est pas aussi sécurisée que l'appareil effectuant la restauration. Ce processus peut effacer les clés de chiffrement du disque, alors soyez prudent ! Si vous utilisez un Mac pour restaurer le T2, l'outil de configuration d'Apple peut être utilisé en suivant leurs conseils. Les machines Linux et Windows peuvent utiliser les outils open-source libimobiledevice », a-t-il indiqué.
Malgré le fait qu'Apple ne puisse pas réparer la faille de son T2, selon Mark, un appareil compromis qui est encore amorçable en DFU devrait pouvoir être restauré en le connectant à un deuxième appareil de confiance. Jusqu'à présent, Apple, n'a pour sa part fait aucun commentaire sur cette affirmation et ne s'est pas prononcé au sujet de la vulnérabilité.
Pour tout utilisateur de Mac, la meilleure façon de se prémunir contre cette attaque est de ne pas laisser un Mac sans surveillance et d'éviter toute utilisation d'un câble USB-C avec votre ordinateur, sauf si la provenance et la circulation de ce câble sont connues. C'est également une bonne idée d'activer le chiffrement FileVault sur la machine.
Source : Billet de blog
Et vous ?
Qu'en pensez-vous ?Voir aussi :
Le jailbreak checkra1n a réussi à déplomber la puce de sécurité Apple T2, qui équipe les Mac Apple confirme que sa puce T2 bloque certaines réparations réalisées par des tiers sur les nouveaux Mac, sans son logiciel Apple Service Toolkit 2 Apple cible le jailbreaking dans un procès contre Corellium, une société de virtualisation iOS, pour violation de droit d'auteur Apple paie 288 000 dollars à des hackers éthiques qui ont trouvé 55 vulnérabilités sur le réseau de l'entreprise, dont 11 estimées comme critiques Apple assigne à comparaître L3Harris Technologies, une entreprise pesant 50 milliards de dollars, pour qu'elle lui dise comment elle se sert de l'outil de hacking d'iPhone développé par Corellium 
